Originally posted by Unregistered
IDS kan heel handig zijn, als je het goed weet te benutten.
Handig voor wat?
Om een paar mensen van de straat te houden?
Ik denk dat er geen enkele manager overtuigd kan worden van het nut van een IDS danwel een IPS.
Het systeem moet standaard alle bekende en toekomstige vulnerabilities tegenhouden, dit kan alleen door een strak opgezette securitypolicy.
Maar goed, gelukkig -voor IDS/IPS vendors- zijn er mensen die er geen verstand van hebben, en alle marketing onzin geloven, en denken dat een IDS/IPS hun tegen de eerste beste 0day zal beschermen. En wordt hen niet verteld dat een 0day is in de mainstream security scene gepubliceerd zal moeten worden voordat een vendor -zeker indien het geen opensource vendor is- er een IDS/IPS signature voor kan maken.
Dan zijn er altijd mensen die na het lezen van bovenstaande op andere punten van IDS/IPS wijzen, zoals traffic analyse, ja het is leuk naar afwijkende patronen te kijken, en een mix te vinden van instellingen die er voor zorgen dat je configuratie niet tot een DoS lijd, maar probeer eens op > 100Mb/s fullduplex te analyseren.